Informational
Informational
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco IOS®ハイパーテキスト転送プロトコル(HTTP)のクロスサイトスクリプティング(XSS)の3つの脆弱性とクロスサイトリクエストフォージェリ(CSRF)の脆弱性が、3人の独立した研究者によってシスコに報告されています。ProCheckupは、「XSS on Cisco IOS HTTP Server」というタイトルのセキュリティアドバイザリをhttp://www.procheckup.com/vulnerability_manager/vulnerabilities/pr08-19で公開しています。
ProCheckUpのAdrian Pastor氏とRichard J. Brain氏、NTTデータセキュリティ株式会社の辻信宏氏にJPCertの協力をお願いします。
このCisco Security Responseは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090114-httpで公開されています。
追加情報
この応答は、Cisco IOS Hypertext Transfer Protocol(HTTP)サーバ(HTTPセキュアサーバを含む。以降は純粋にHTTPサーバと呼びます)内の3つの異なるクロスサイトスクリプティング(XSS)の脆弱性と、クロスサイトリクエストフォージェリ(CSRF)の脆弱性を対象とし、HTTPサーバでHTTPベースのIOS EXECサーバを有効にしてCisco IOSソフトウェアバージョン111.0 ~ 12.4を2.4で4を実行実行するすべてのシスコ製品にに適用適用します。IOS HTTPサーバまたはHTTPセキュアサーバが含まれていても、有効になっていないシステムは影響を受けません。
HTTPサーバがデバイスで実行されているかどうかを確認するには、show ip http server status | include statusおよびshow ip http server secure status | include statusコマンドを使用して、次のような出力を探します。
Router#show ip http server status | include status HTTP server status: Enabled HTTP secure server status: Enabled
デバイスがHTTPサーバを実行していない場合は、次のような出力が表示されます。
Router#show ip http server status | include status HTTP server status: Disabled HTTP secure server status: Disabled
これらの脆弱性は、次のCisco Bug IDに記載されています。
- Cisco Bug ID CSCsi13344 - IOS HTTPサーバのXSS(登録ユーザ専用)
特殊文字は、HTTPサーバに送信されるURL文字列ではエスケープされません。 - Cisco Bug ID CSCsr72301 - IOS HTTPサーバのXSS(pingパラメータ)(登録ユーザ専用)
特殊文字は、pingパラメータを介してHTTPサーバに送信されるURL文字列ではエスケープされません。pingパラメータは、ルータやSecurity Device Manager(SDM)などの外部アプリケーションと、Cisco IOS httpサーバへの直接のHTTPセッションの両方で使用されます。この脆弱性は、12.1Eベースのトレインおよび12.2(13)T以降のすべてのCisco IOSリリースに影響を与えます。 - Cisco Bug ID CSCsv05154 - Cisco IOS HTTP ServerのCSRF攻撃に対する脆弱性(登録ユーザ専用)
HTTPベースのIOS EXECサーバが有効なCisco IOS HTTPサーバは、クロスサイトリクエストフォージェリ(CSRF)攻撃に対して脆弱です。これにより、悪意のあるユーザが、すでにログインしているユーザの特権の下でWebインターフェイスを介してデバイス上でコマンドを実行する可能性があります。 - Cisco Bug ID CSCsx49573 - Cisco IOS HTTP ServerのXSS(登録ユーザ専用)
これはCisco Bug ID CSCsi13344の拡張であり、HTTPベースのIOS EXECサーバに対して有効にされたCisco IOS HTTPサーバへのXSS攻撃に対する完全な修正は提供されていませんでした。
これらの脆弱性は相互に関連していません。完全なソリューションについては、すべてのCisco Bug IDの修正を含むCisco IOSバージョンをダウンロードしてください。これらの脆弱性には、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-3821が割り当てられています。
回避策:
HTTPサーバの無効化
HTTPサーバがデバイスで正当な目的に使用されていない場合は、コンフィギュレーションモードで次のコマンドを発行して無効にすることをお勧めします。
no ip http server no ip http secure-server
HTTP WEB_EXECサービスの無効化
12.3(14)T以降で導入された機能では、選択的なHTTPおよびHTTPSサービスを有効または無効にできます。WEB_EXECサービスは、ボックスを設定し、リモートクライアントからボックスの現在の状態を取得する機能を提供します。
他のHTTPサービスをアクティブなままにしたまま、WEB_EXECサービスを無効にすることができます。インストールでWEB_EXECサービスを使用する必要がない場合は、次の手順を使用して無効にすることができます。
- すべてのセッションモジュールのリストを確認します。
Router#show ip http server session-module HTTP server application session modules: Session module Name Handle Status Secure-status Description HTTP_IFS 1 Active Active HTTP based IOS File Server HOME_PAGE 2 Active Active IOS Homepage Server QDM 3 Active Active QOS Device Manager Server QDM_SA 4 Active Active QOS Device Manager Signed Applet Server WEB_EXEC 5 Active Active HTTP based IOS EXEC Server IXI 6 Active Active IOS XML Infra Application Server IDCONF 7 Active Active IDCONF HTTP(S) Server XSM 8 Active Active XML Session Manager VDM 9 Active Active VPN Device Manager Server XML_Api 10 Active Active XML Api ITS 11 Active Active IOS Telephony Service ITS_LOCDIR 12 Active Active ITS Local Directory Search CME_SERVICE_URL 13 Active Active CME Service URL CME_AUTH_SRV_LOGIN 14 Active Active CME Authentication Server IPS_SDEE 15 Active Active IOS IPS SDEE Server tti-petitioner 16 Active Active TTI Petitioner
- 必要なセッションモジュールのリストを作成します。この例では、WEB_EXEC以外のすべてが対象になります。
Router#configuration terminal Router(config)#ip http session-module-list exclude_webexec HTTP_IFS,HOME_PAGE,QDM,QDM_SA,IXI,IDCONF,XSM,VDM,XML_Api, ITS,ITS_LOCDIR,CME_SERVICE_URL,CME_AUTH_SRV_LOGIN,IPS_SDEE,tti-petitioner - リモートクライアントからの着信HTTP要求に対応するHTTP/HTTPSアプリケーションを選択的に有効にします。
Router(config)#ip http active-session-modules exclude_webexec Router(config)#ip http secure-active-session-modules exclude_webexec Router(config)#exit
- すべてのセッションモジュールのリストを確認し、WEB_EXECがアクティブでないことを確認します。
Router#show ip http server session-module HTTP server application session modules: Session module Name Handle Status Secure-status Description HTTP_IFS 1 Active Active HTTP based IOS File Server HOME_PAGE 2 Active Active IOS Homepage Server QDM 3 Active Active QOS Device Manager Server QDM_SA 4 Active Active QOS Device Manager Signed Applet Server WEB_EXEC 5 Inactive Inactive HTTP based IOS EXEC Server IXI 6 Active Active IOS XML Infra Application Server IDCONF 7 Active Active IDCONF HTTP(S) Server XSM 8 Active Active XML Session Manager VDM 9 Active Active VPN Device Manager Server XML_Api 10 Active Active XML Api ITS 11 Active Active IOS Telephony Service ITS_LOCDIR 12 Active Active ITS Local Directory Search CME_SERVICE_URL 13 Active Active CME Service URL CME_AUTH_SRV_LOGIN 14 Active Active CME Authentication Server IPS_SDEE 15 Active Active IOS IPS SDEE Server tti-petitioner 16 Active Active TTI Petitioner
HTTPサーバまたはセキュアHTTPサーバを使用してアプリケーションを選択的にイネーブルにする方法の詳細については、次のURLにある『Cisco IOS Network Management Configuration Guide, release 12.4T』を参照してください。http://www.cisco.com/en/US/docs/ios/netmgmt/configuration/guide/nm_http_app_enable.html
アクセス制御
HTTPサーバが必要な場合は、信頼できる送信元だけにHTTPサーバにアクセスできるホストを制御することが推奨されます。HTTPサーバにアクセスできるホストを制御するには、HTTPサーバにアクセスリストを適用します。アクセスリストをHTTPサーバに適用するには、グローバルコンフィギュレーションモードで次のコマンドを使用します。
ip http access-class {access-list-number | access-list-name}
次の例は、信頼できるホストだけがCisco IOS HTTPサーバにアクセスできるようにするアクセスリストを示しています。
ip access-list standard 20
permit 192.168.1.0 0.0.0.255
remark "Above is a trusted subnet"
remark "Add further trusted subnets or hosts below"
! (Note: all other access implicitly denied) ! (Apply the access-list to the http server)
ip http access-class 20
Cisco IOS HTTPサーバの設定の詳細については、『Cisco Webブラウザユーザインターフェイスの使用』を参照してください。
クロスサイトスクリプティング(XSS)攻撃と、この脆弱性を悪用する方法の詳細については、Cisco適用対応策速報『Understanding Cross-Site Scripting (XSS) Threat Vectors』を参照してください。このドキュメントは、https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20060922-understanding-xssから入手できます。
問題の詳細説明
この脆弱性は、HTTPサーバに送信されるURL内の文字をエスケープすることに関するものです。この脆弱性は、Cisco Bug ID CSCsc64976(登録ユーザ専用)で報告されている脆弱性とは異なります。この脆弱性を修正するには、Web EXECアプリケーションによって生成された応答にエコー表示されるURLストリング内の特殊文字をエスケープします。
ソフトウェア バージョンと修正
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
シスコでは現在、これらのCisco Bug IDをCisco IOSソフトウェアに適用しています。修正済みリリースの最新バージョンを確認するには、Cisco Bug Toolkit https://sec.cloudapps.cisco.com/support/BugToolKit/action.do?hdnAction=searchBugsを参照するか、この応答の「シスコの対応」セクションにあるCisco Bug IDをクリックしてください。
シスコのセキュリティ手順
シスコ製品のセキュリティの脆弱性に関するレポート、セキュリティ障害に対する支援、およびシスコからのセキュリティ情報を受信するための登録に関するすべての情報は、シスコのワールドワイド ウェブサイト https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html から入手できます。この情報には、シスコのセキュリティ通知に関して、報道機関が問い合せる場合の説明も含まれています。すべての Cisco セキュリティ アドバイザリは、http://www.cisco.com/go/psirt から入手できます。
URL
改訂履歴
| バージョン | 説明 | セクション | 日付 |
|
リビジョン 3.1 |
「HTTP WEB_EXECサービスの無効化」セクションを改訂。 |
2009年6月19日 |
|
|
リビジョン 3.0 |
追加情報とソフトウェアバージョンおよび修正の更新 |
2009年2月6日 |
|
|
Revision 2.0 |
ソフトウェアテーブルの更新 |
2009年1月23日 |
|
|
リビジョン 1.0 |
初版リリース |
2009年1月14日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。